fbpx

Como o hacker da ‘Vaza Jato’ invadiu os sistemas da Justiça

Em depoimento, o programador Walter Delgatti Neto detalhou o passo a passo da sua invasão ao Conselho Nacional de Justiça (CNJ)
(Imagem: José Cruz/Agência Brasil)

O programador Walter Delgatti Neto, conhecido como o hacker da “Vaza Jato”, conseguiu emitir um mandado de prisão falso contra o ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes. Para essa proeza, ele explorou um bug no GitHub para acessar o Banco Nacional de Mandados de Prisão (BNMP) e diversas brechas de cibersegurança do Conselho Nacional de Justiça (CNJ).

Para quem tem pressa:

  • O programador Walter Delgatti Neto, conhecido como o hacker da “Vaza Jato”, detalhou, em depoimento, o passo a passo da sua invasão aos sistema da Justiça;
  • O hacker emitiu um mandado de prisão falso contra o ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes, além de 11 alvarás de soltura em favor de militantes bolsonaristas;
  • No depoimento, Neto disse que explorou um bug no GitHub e diversas brechas de cibersegurança do Conselho Nacional de Justiça (CNJ).

Pelo menos, é o que o hacker contou, num depoimento em 2 de agosto, de acordo com uma reportagem do jornal Folha de S. Paulo, publicada nesta terça-feira (15).

O ministro Alexandre de Moraes avaliou, em decisão do STF, que o relato de Delgatti encaixa com perícias e investigações realizadas pela Polícia Federal.

Os servidores confiavam demais que o sistema não seria invadido.

Trecho de depoimento de Walter Delgatti Neto, programador conhecido como o hacker da “Vaza Jato”

O programador inseriu documentos falsos no sistema entre setembro de 2022 e janeiro de 2023. Além do mandado de prisão contra Moraes, o CNJ encontrou 11 alvarás de soltura em favor de militantes bolsonaristas em 4 de janeiro, todos emitidos pelo programador.

Passo a passo do hacker

(Imagem: Pedro Spadoni/Olhar Digital)

O programador começou sua invasão pelo repositório do CNJ no GitHub. Essa plataforma hospeda trechos de código de computação para viabilizar o desenvolvimento coletivo de software.

Nessa plataforma, o hacker encontrou arquivos nomeados como “secrets”. Eles continham chaves e tokens de acesso aos sistemas do CNJ.

Além do GitHub, o CNJ hospeda seus códigos no GitLab, plataforma concorrente, para atender sua política de transparência.

Nessa plataforma, o hacker encontrou arquivos nomeados como “secrets”. Eles continham chaves e tokens de acesso aos sistemas do CNJ.

Além do GitHub, o CNJ hospeda seus códigos no GitLab, plataforma concorrente, para atender sua política de transparência.

(Imagem: Gil Ferreira/Agência CNJ)

Neto disse que ao menos um dos sistemas do CNJ ficou dois anos sem atualização. Graças a essas brechas, o hacker acompanhou conversas de servidores técnicos num canal interno por três meses.

Em seguida, ele conseguiu login e senha de um engenheiro de software do CNJ. As mesmas palavras-chave funcionaram na intranet do conselho, onde também não havia verificação em dois fatores.

Essa, digamos, manobra deu a Delgatti acesso a todas as senhas de bancos de dados. O próximo passo foi conseguir acesso à conta do consultor de TI Elenilson Pedro Chiarapa no Sistema de Controle de Acesso, que credencia permissões a outros sistemas.

Por fim, Delgatti criou uma conta falsa com permissão de magistrado no BNMP e no Sisbajud, sistema que envia as ordens judiciais.

Brechas nos sistemas

Em 2021, o CNJ instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário. No entanto, os erros apontados pelo hacker em seu depoimento apontam desconformidade com essa estratégia.

Após o “ataque” do hacker, o CNJ revogou senhas de acesso a todos os sistemas e instituiu um novo padrão de segurança.

Em nota enviada ao jornal, o CNJ informou que implementou todas as medidas necessárias para fortalecimento de seu ambiente cibernético. Já o GitHub se negou a comentar sobre o caso.

Compartilhe este conteúdo

Conteúdos Relacionados

Siga a Ascenda Digital
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore